防非法IP扫描与用户组多重隔离是网络内网安全的核心技术？

及时准确判别非法IP扫描是报警和阻断网络病毒在内网传播的关键，目前几乎实际内网中没有此功能。在讨论这个问题时，我们依次分析、解释以下几个问题，逐步阐述说明题目内容：
网络病毒依据功能划分为木马病毒和蠕虫病毒。
木马病毒和蠕虫病毒在内网传播，首先通过发送或者扫描IP来建立传播途径。
“防止非法扫描和用户组多重隔离”可以防止木马病毒和蠕虫病毒在内网的传播。
防火墙不能防止木马病毒和蠕虫病毒在内网的传播。
1.网络病毒依据功能划分为木马病毒和蠕虫病毒。
网络病毒依据功能划分为木马病毒和蠕虫病毒_1 网络病毒依据功能划分为木马病毒和蠕虫病毒_2

（图1：木马与蠕虫示意图）
计算机病毒的分类，分为传统单机病毒和网络病毒（病毒代码是否包含上网传播和攻击部分）。我们只考虑网络病毒的防御，来保护内网安全、工业互联网安全、工业以太网安全，而网络病毒依据其在病毒功能的方式仅仅划分为木马病毒和蠕虫病毒（可查阅相关文档，或参见百度百科主题词：网络病毒-类型）。很多病毒都属于蠕虫病毒的一种，如：震网、攻击波、红色代码、尼姆达等。

2.木马病毒和蠕虫病毒在内网传播，首先通过发送或者扫描IP来建立传播途径。
木马病毒在内网主要是依靠发送非法IP来建立通信链路：木马病毒名字来源于希腊神话故事，该病毒一般是用户上网误操作，而被传染的后门恶意程序。通过阻断上网就可以避免感染，或阻断隔离木马病毒客户端和服务端的通讯，就可以防止木马病毒发作。木马病毒传播的是服务端的病毒程序，被感染者都是服务端，木马病毒可以发作的必要条件是客户端和服务端必须建立起网络通信，这种通信是基于IP地址和端口号的，藏匿在服务端的木马程序一旦被触发执行，就会不断试图将通信的IP地址和端口号发给客户端。（可查阅相关文档，或参见百度百科主题词：木马病毒-原理）因此就会寻址用户组中不存在的非法客户端IP地址。
蠕虫病毒在内网是通过扫描搜索漏洞来传播：而工业网络设备和计算机几乎都被防火墙阻断，木马病毒无法发作。因此工业网络主要危害来源于蠕虫病毒。目前在工业网络中，爆发的网络病毒几乎都是蠕虫病毒。其在网络中传播的行为特征就是计算机IP扫描。（可查阅相关文档，或参见百度百科主题词：蠕虫病毒-结构原理）首先通过扫描对系统、应用进行漏洞挖掘，然后通过这些漏洞进行入侵、传播。

3.“防止非法扫描和用户组多重隔离”可以防止木马病毒和蠕虫病毒在内网的传播。
防止非法扫描可以阻断木马病毒和蠕虫在内网的传播途径。黑客和网络安全检测人员都是用扫描软件来发现可以攻击的网络漏洞和主机地址，他们需要IP扫描和端口扫描。因此合理检测报警和处理计算机IP扫描源是处理蠕虫病毒和保证网络安全的关键。

4.防火墙不能防止木马病毒和蠕虫病毒在内网的传播。
防火墙不能防止木马病毒和蠕虫病毒在内网的传播

（图2：病毒在内网传播示意图）
如图2所示，防火墙主要用于内外网隔离，由于外网地址由电讯公司分配，内网计算机出网时，其地址被映射成Nat网关的端口号中。故外网需寻址内网设备地址就需要端口号扫描。而蠕虫在内网攻击时，仅攻击其拥有攻击手段的特定端口号，仅需要IP扫描攻击，而通讯网络工业交换机仅把符合该设备的IP的信息发给该设备，因此前置在该设备前的防火墙只能看到发给该设备本身IP的信息，该防火墙不能发现IP扫描。关于工业防火墙白名单技术的评价，通讯协议的正确並不能保证通讯内容的正确。软件网络端口漏洞是软件漏洞，不能简单归于TCP/UDP等通讯协议的问题。震网病毒就是一个事例。

5.“基于用户组多重隔离技术的-分布式IPS防御系统”，性能优于现有的IDS系统

（图3：分布式IPS系统功能示意图）
首先采用物理数据链路层隔离技术，阻断非组内通信。如图3所示，病毒传播范围大幅缩小，扫描范围也大大缩小。当木马病毒和蠕虫病毒会寻址用户组中不存在的非法客户端IP地址，立刻被IP扫描侦听检测模块发现。并根据用户的处理要求进行报警、IP隔离、关闭感染通信口；用户可第一时间隔离被感染主机，查杀病毒、重装软件，对未知病毒和零日漏洞同样有效。能及时准确发现恶意程序的IP扫描，並记录扫描源。同时分布式IPS防御系统，在不影响网络通信效率的前提下，对内网进行多重隔离，并阻止入侵的发生，在效率和功能上都优于现有的IDS系统。

6.其他问题说明：
用户组成员在不同网段地址中是否可以通讯？：计算机网卡（高级设置）可设置多个不同网段地址，可以和不同网段的计算机通讯。
IP通讯劫持（ARP劫持主要应用于黑客盗码技术））:不仅是影响网络通讯，被劫持的计算机通讯会造成密码等重要信息泄露，该问题在用户组防御方案中已经解决。见公安部三所无异议的用例检测公证报告。
DoS/DDoS 攻击：用户组把局域网隔离成最小的安全域和隔离组，分布式攻击难以有效。
隔离木马病毒：用户组成员的默认网关设置成用户组内实际不存在的IP地址，木马病毒出用户组，无法与其客户端建立通讯。
捕捉蠕虫病毒：通过发现IP扫描源并确认其寻址通讯目标是否是合法的用户组（安全域）成员，就确认非法扫描源
APT攻击：APT攻击是某些组织对特定目标计算机系统进行攻击的流程。对该系统架构、软件系统、通讯、防护技术的研究，设计出能够绕过其防御系统并感染目标计算机的特殊的蠕虫和木马病毒，以及它们的传播途径。由于采用网络病毒网上IP扫描行为特征作为判定依据，与目前常规的防御系统区别很大。目前已知的APT网络病毒无法攻击。
备注信息：光纤收发器